ISO 27001 ve KVKK İlişkisi
ISO 27001 – BGYS (Bilgi
Güvenliği Yönetim Sistemi), içerisinde kurumun bilgi güvenliğini sağlamak üzere
kurulan bir sistemdir. KVKK (6698 Sayılı Kanun) ise kurumun (veri sorumlu) veri işleme sürecinde
uyacağı kuralları, yükümlülükleri ve kurumun bu bağlamda alması gerekli teknik
ve idari tedbirleri içermektedir.
KAYNAK: https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
ISO 27001 BGYS dokümantasyon
sistemi içerisinde KVKK gereksinimlerini ve dokümanlarını karşılamak için KVK
rehberlerinde belirtilen teknik ve idari önlemlerin yerine getirilmesi gerekir.
Teknik önlemlerin bir
kısmı ISO 27001 standardı maddelerine eklenerek (dokümanlarına kişisel veriye
yönelik ek önlemler yazılarak ve uygulamalar genişletilerek) yerine
getirilebilir.
Aynı şekilde idari tedbirlerin
bir kısmı da ISO 27001 standardı maddeleri için yazılan dokümanlara kişisel
veriye yönelik eklemeler yapılarak ve uygulamalarda yerine getirilerek
yapılabilir. Örneğin tedarikçi anlaşmalarında kişisel verilerin gizliğine
yönelik maddelerin eklenmesi.
KVKK Teknik Tedbirler |
ISO
27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR |
Yetki Matrisi |
A.9: Erişim Kontrolü Politikası ve/veya
prosedürleri, Yetki Matrisi |
Yetki Kontrol |
A.9: Erişim Kontrolü Politikası ve/veya
prosedürleri |
Erişim
Logları |
A.12.4.1: Olay kaydetme – İzleme ve Kaydetme
politika ve/veya prosedürleri |
Kullanıcı
Hesap Yönetimi |
A.9.4: Sistem ve uygulama erişim kontrolü - Erişim
kontrol politikası, ağ yönetim politikası, kullanıcı hesap yönetimi |
Ağ Güvenliği |
A.13.1 Ağ
güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri |
Uygulama
Güvenliği |
A.14.2 Geliştirme
ve destek süreçlerinde güvenlik - Güvenli yazılım geliştirme politikası ve/veya
prosedürleri. |
Şifreleme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri |
Sızma Testi |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri |
Saldırı
Tespit ve Önleme Sistemleri |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri |
Log Kayıtları |
A.12.4.1: Olay kaydetme – İzleme ve Kaydetme
politika ve/veya prosedürleri |
Veri
Maskeleme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri A.8.3 Ortam
işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri |
Veri Kaybı
Önleme Yazılımları |
A.12.6.1 Teknik açıklıkların yönetimi - Güvenlik
açıkları tespit etme politikası ve/veya prosedürleri A.18 Uyum – Uyum politika ve/veya
prosedürleri |
Yedekleme |
A.12.3 Bilgi yedekleme – Yedekleme politika ve/veya
prosedürleri. FÇ Yedekleme politikası içerisinde kişisel verilerin yedeklenmesinin
de eklenmesi. |
Güvenlik
Duvarları |
A.13.1 Ağ
güvenliği yönetimi – Ağ Güvenliği politikası ve/veya prosedürleri A.14.1.2 Halka açık ağlardaki uygulama
hizmetlerinin güvenliğinin sağlanması – Internet güvenliği politikası ve/veya
prosedürleri |
Güncel
Anti-Virüs Sistemleri |
A.12.2.1 Kötücül yazılımlara karşı kontroller
- Varlıkların Kabul Edilebilir
Kullanımı Politikası, Anti-virüs politikası ve/Veya prosedürleri, Taşınabilir
cihaz politikası ve/veya prosedürleri |
Silme, Yok
Etme veya Anonim Hale Getirme |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri A.8.3 Ortam
işleme – Ortamların Yok Edilmesi politika ve/veya prosedürleri |
Anahtar
Yönetimi |
A.10.1 Kriptografik
kontroller – Kriptografi (şifreleme) politika ve/veya prosedürleri |
KVKK İdari Tedbirler |
ISO
27001 STANDARDI – İLGİLİ MADDELER ve DOKÜMANLAR |
Kişisel Veri İşleme
Envanteri Hazırlanması |
A.8.1.1
Varlıkların envanteri. Kişisel veri envanteri |
Kurumsal
Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
A.5.1.1 Bilgi
güvenliği için politikalar – Bilgi Güvenliği Politikaları/Prosedürleri |
Sözleşmeler (Veri
Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında ) |
A.7.1.2 İstihdam
hüküm ve koşulları A.15.1.2 Tedarikçi anlaşmalarında güvenliği
ifade etme |
Gizlilik
Taahhütnameleri |
A.7.1.2 İstihdam
hüküm ve koşulları A.15.1.2 Tedarikçi anlaşmalarında güvenliği
ifade etme |
Kurum İçi
Periyodik ve/veya Rastgele Denetimler |
9.2 İç
Tetkik – İç tetkik (denetim) politika ve/veya prosedürleri |
Risk Analizleri |
6.1.2 Bilgi
güvenliği risk değerlendirmesi 8.2 Bilgi
güvenliği risk değerlendirme 8.3 Bilgi
güvenliği risk işleme |
İş Sözleşmesi,
Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
A.7.2.3 Disiplin
prosesi |
Kurumsal İletişim
(Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar
Yönetimi vb.) |
A.17.1 Bilgi
güvenliği sürekliliği – İş sürekliliği politikası ve/veya prosedürleri |
Eğitim ve Farkındalık
Faaliyetleri (Bilgi Güvenliği ve Kanun) |
A.7.2.2 Bilgi
güvenliği farkındalığı, eğitim ve öğretimi |
Veri Sorumluları
Sicil Bilgi Sistemine (VERBİS) Bildirim |
Yok |